F�rum [D�vida] Hooking/DLL #311810

05/02/2006

Ol�, sou novato aqui no f�rum, e gostaria de parabenizar pois tem um conte�do mto bom..

Estou com algumas d�vidas sobre Hooking..
Eu estou querendo fazer uma aplica��o que n�o seje fechada..
Para isso eu precisaria de usar um hook n�? No TerminateProcess ou ExitProcess?
Eu preciso criar um DLL pra fazer isso ou s� pelo EXE ja d�? E se eu quiser impedir outras aplica��es de serem fechadas? Preciso de ter uma DLL ou s� EXE?

Gostaria de saber tb, se por exemplo eu tiver q usar DLL, num teria como eu �acoplar� a DLL ao EXE e ao executar o programa, ele extrai-se a DLL para uma pasta que eu quisesse e assim us�-la?

Sei que tem uns m�gicos do hooking por ae(nildo, michael, etc..) :roll:

Se qlqer um ae puder ajudar eu agrade�o...

Vlw!!

Mrmick

Curtir t�pico

+ 0

Responder

Posts

06/02/2006

Michael

Ol�!

Respostas:

1) Vc deve �hookar� a API [b:932301d7f7]TerminateProcess[/b:932301d7f7], da [b:932301d7f7]kernel32.dll[/b:932301d7f7]. Veja [url=http://help.madshi.net/HowToUseMadCodeHook.htm]neste link[/url] um exemplo usando a [b:932301d7f7]MadCodeHook[/b:932301d7f7]. Note que vc pode usar a lib do [b:932301d7f7]Nildo [/b:932301d7f7]sem problemas: basta trocar os nomes das fun��es;

2) O c�digo do hook no EXE s� tem efeito sobre ele mesmo. Para interceptar as chamadas � API�s em outros processos vc precisa usar uma DLL e injet�-la no sistema;

3) Vc pode incluir a DLL no execut�vel, extra�-la e injet�-la. Mas, pq faria isso? Apenas para n�o precisar distribuir o arquivo?

[]�s

Responder

Gostei + 0

06/02/2006

Nildo

Completando a resposta do Michael, se quiser realmente colocar sua DLL no seu exe e extrair na hora da execu��o, pode se basear nesse meu artigo: http://www.clubedelphi.net/artigos/U_DLLnoDelphi.asp

Falows

Responder

Gostei + 0

06/02/2006

Martins

Pronto [b:6ab3906e33]MrMick[/b:6ab3906e33], o [b:6ab3906e33]Michael [/b:6ab3906e33]e o [b:6ab3906e33]Nildo[/b:6ab3906e33] j� postaram as respostas e solu��es para o q desejar, quanto ao c�digo, vc poder� discutir tanto aqui quanto no f�rum do projetobms.

Boa sorte!!!

Responder

Gostei + 0

06/02/2006

Mrmick

Sem coment�rios.. mto obrigado � voc�s...

Vo dar uma lida, uma fu�ada..

D�vidas vo postar aqui, ok?

Vlw pessoal!

:wink:

Responder

Gostei + 0

06/02/2006

Mrmick

Bom, j� estou eu aqui com umas d�vidas hehehe...

Bom, no exemplo l� do madshi, tem essa fun��o:

function ThisIsOurProcess(processHandle: dword) : boolean;
var pid   : dword;
    arrCh : array [0..MAX_PATH] of char;
begin
  pid := ProcessHandleToId(processHandle);
  result := (pid <> 0) and ProcessIdToFileName(pid, arrCh) and
            (PosText(�OurApplication.exe�, arrCh) > 0);
end;

S� que na biblioteca BmsApiHook, n�o tem o [b:b56d4f8760]ProcessHandleToId[/b:b56d4f8760], [b:b56d4f8760]ProcessIdToFileName[/b:b56d4f8760] e nem o [b:b56d4f8760]PosText[/b:b56d4f8760], ae tipw como eu adaptaria para a biblioteca Bms?

Tava olhando no help e vi que tem a fun��o [b:b56d4f8760]BmsGetProcessID[/b:b56d4f8760], ela poderia substituir a [b:b56d4f8760]ProcessHandleToId[/b:b56d4f8760] n�?

Ah, otra coisa fora disso ae, se por exemplo tem uma DLL injetada no explorer.exe, teria como eu fazer um aplicativo pra �desinjetar� essa DLL sem fechar ou danificar o explorer.exe ?

Bom, � isso.. Malz ae eu estar incomodando, mas � pq qdo t� se aprendendo � assim mesmo. uma confus�o na kbe�a.. mto foda..

Vlw ae pessoal!

:wink:

Responder

Gostei + 0

06/02/2006

Nildo

BmsGetProcessID retorna o ID de um processo pelo seu nome.
Entao vc pode verificar assim:

function ThisIsOurProcess(processID: dword) : boolean;
begin
   Result := GetCurrentProcessID = BmsGetProcessID( �OurApplication.exe� );
end;

Ah, otra coisa fora disso ae, se por exemplo tem uma DLL injetada no explorer.exe, teria como eu fazer um aplicativo pra �desinjetar� essa DLL sem fechar ou danificar o explorer.exe ?

Tem sim!

BmsRemoteUnloadLibrary( BmsGetProcessID( �explorer.exe� ), �c:\suaDLL.dll� );

Responder

Gostei + 0

06/02/2006

Titanius

Ol� nildo, s� me intrometendo um pouquinho no assunto..

Tem como eu usar Hook, pra proteger uma pasta? tipo, ninguem acessar ela? se alguem tentar acessar, ele pede uma senha, e se tiver certo libera o acesso?

Se sim, teria como funcionar em modo de seguranca? pois senao cara entra em modo de seguranca e acessa a pasta.. :D

[]s

Responder

Gostei + 0

06/02/2006

Martins

[b:c3f0c20e36]BmsRemoteLoadLibrary - Injeta sua DLL no processo desejado.[/b:c3f0c20e36]

BmsRemoteUnloadLibrary( BmsGetProcessID( �explorer.exe� ), �c:\suaDLL.dll� );

[b:c3f0c20e36]BmsRemoteUnloadLibrary - Reove a sua DLL do processo.[/b:c3f0c20e36]

BmsRemoteUnloadLibrary( BmsGetProcessID( �explorer.exe� ), �c:\suaDLL.dll� );

Responder

Gostei + 0

06/02/2006

Mrmick

Poxa, r�pido h�in??

Tipw, MUITO OBRIGADO! Vlw mesmo! � bom d+ qdo as coisas v�o ficando mais claras.. vlw!

Tipw, testei aqui e consigo fechar o programa normalmente.. N�o d� erro nem nada pra compilar e Hookar.. mas ele n�o bloqueia o fechamento do processo..

DLL:

library funcoes;

uses Windows, BmsAPIHook;

var TerminateProcessNext : function (processHandle, exitCode: dword) : bool; stdcall;

function ProcessoProtegido(processID: dword) : boolean;
begin
   Result := GetCurrentProcessID = BmsGetProcessID(�notepad.exe�);
end;

function TerminateProcessCallback(processHandle, exitCode: dword) : bool; stdcall;
begin
  if ProcessoProtegido(processHandle) then begin
    result := false;
    SetLastError(ERROR_ACCESS_DENIED);
  end else
    result := TerminateProcessNext(processHandle, exitCode);
end;

begin
  BmsHookApi(�kernel32.dll�, �TerminateProcess�, @TerminateProcessCallback, @TerminateProcessNext);
end.

MeuProg:

procedure TForm1.BloqueiaClick(Sender: TObject);
begin
  BmsRemoteLoadLibrary(TODOS_PROCESSOS, �funcoes.dll�);
  MessageBox(0, �Bloqueado!�, �Aviso...�, MB_ICONINFORMATION);
end;

procedure TForm1.DesbloqueiaClick(Sender: TObject);
begin
  BmsRemoteUnloadLibrary(TODOS_PROCESSOS, �funcoes.dll�);
end;

Tem algo errado?

valewww!!

:D

Responder

Gostei + 0

06/02/2006

Martins

Ol� nildo, s� me intrometendo um pouquinho no assunto.. Tem como eu usar Hook, pra proteger uma pasta? tipo, ninguem acessar ela? se alguem tentar acessar, ele pede uma senha, e se tiver certo libera o acesso? Se sim, teria como funcionar em modo de seguranca? pois senao cara entra em modo de seguranca e acessa a pasta.. :D []s

Uma �tima pergunta [b:5cf0e57f10]Titanius[/b:5cf0e57f10], acho at� q j� perguntei algo parecido para o [b:5cf0e57f10]Nildo[/b:5cf0e57f10].

Responder

Gostei + 0

06/02/2006

Nildo

[b:a1d679c9d5]MrMick[/b:a1d679c9d5], a API TerminateProcess n�o � chamada quando voc� fecha um processo normalmente.. ela � chamada pelo Gerenciador de processos por exemplo, quando voc� mata um processo.

J� sobre a fun��o

function ProcessoProtegido(processID: dword) : boolean;
begin
   Result := GetCurrentProcessID = BmsGetProcessID(�notepad.exe�);
end;

n�o � usado Handle mas sim ID.. Ent�o passar o Handle como parametro n�o vai ser a mesma coisa que passar um ID. Creio que voc� deva usar as fun��es da MadCodeHook para obter o Handle de um ID de um processo.

Responder

Gostei + 0

06/02/2006

Nildo

Sim, � s� voc� saber as APIs de acesso a pasta, enumera��o de arquivos, e n�o deixar processar a API caso se trate de sua pasta.

Se sim, teria como funcionar em modo de seguranca? pois senao cara entra em modo de seguranca e acessa a pasta.. :D

At� d�, por�m quando voc� inicia o micro em modo de seguran�a, nenhum programa que deve inicializar junto com o Windows vai carregar. Ent�o at� que o cara n�o execute seu programa que vai proteger as pastas ele ter� acesso.

Sabe o que alguns programas desse tipo fazem? Eles criam um tipo de extens�o, exemplo: [b:8789c9a396]*.AAA[/b:8789c9a396]. Ent�o quando voc� manda proteger uma pasta ele encripta todo o conte�do da pasta e joga em um unico arquivo com a extens�o [b:8789c9a396]*.AAA[/b:8789c9a396], tudo encriptado nesse �nico arquivo. Esse programa vai e atrela o �cone de uma pasta normal aos arquivos do tipo [b:8789c9a396]*.AAA[/b:8789c9a396]. Dai quando voc� acessa esse arquivo pelo Windows Explorer, vai executar o programa do cara que pede uma senha e desencripita esse arquivo e cria a pasta com todas as sub-pastas e arquivos que continha nesse arquivo [b:8789c9a396]*.AAA[/b:8789c9a396]. Mas dai fica um problema, voc� vai ver sua pasta com uma extens�o, e isso fica esquisito. Ent�o esse progra

Dai esse arquivo fica totalmente protegido at� em modo de seguran�a, e se o usu�rio nao tiver o seu programa pra acessar essa pasta, ele nao acessa nunca. Dai se o engra�adinho desinstalar seu programa por pirra�a, j� era!

Espero que tenha sanado suas d�vidas!

Um abra�o!

Responder

Gostei + 0

06/02/2006

Nildo

ma vai e hooka as APIs de enumera��o de arquivos (FindFirstFileA/W, FindNextFileA/W, etc) e toda vez que aparecer esse arquivo com a extens�o [b:8789c9a396]*.AAA[/b:8789c9a396] ele muda o nome do arquivo (somente na API) pra retornar sem a extens�o, e altera os atributos do Record de tipo de arquivo dessas APIs pra identificar que � uma pasta. Hooka tamb�m algumas APIs de arquivos e pastas pra fazer com que o Shell identifique que aquele arquivo � uma pasta (s� pra mostrar nas listinhas da Shell como sendo pasta).

Responder

Gostei + 0

06/02/2006

Mrmick

Sobre o TerminateProcess eu j� tinha uma no��o..

Agora sobre o Handle e ID, eu n�o tinha reparado mto bem nessa fun��o..

Infelizmente tenho que partir por concorrente (Madshi) auhhauhuahu :lol:

Vlw ae, vo ir tentando aki ;)

Responder

Gostei + 0

06/02/2006

Nildo

Infelizmente tenho que partir por concorrente (Madshi) auhhauhuahu :lol:

Hehehehe Sem problemas, sem m�goas :lol:

Responder

Gostei + 0

Mais t�picos